Uma nova ameaça conhecida como CRYSTALRAY ampliou significativamente seu escopo de ataque com novas táticas e exploits, contabilizando mais de 1.500 vítimas cujas credenciais foram roubadas e cryptominers implementados.
Isso foi relatado por pesquisadores da Sysdig, que acompanham o ator de ameaças desde fevereiro, quando reportaram pela primeira vez o uso do worm open-source SSH-Snake para se espalhar lateralmente em redes violadas.
SSH-Snake é um worm open-source que rouba chaves privadas SSH em servidores comprometidos e as utiliza para se mover lateralmente para outros servidores enquanto deposita payloads adicionais nos sistemas violados.
Anteriormente, a Sysdig identificou cerca de 100 vítimas de CRYSTALRAY impactadas pelos ataques do SSH-Snake e destacou as capacidades da ferramenta de mapeamento de rede para roubar chaves privadas e facilitar o movimento lateral discreto na rede.
A Sysdig reporta que o ator de ameaça por trás desses ataques, agora rastreado como CRYSTALRAY, ampliou significativamente suas operações, contabilizando 1.500 vítimas.
"As observações mais recentes da equipe mostram que as operações de CRYSTALRAY escalaram 10 vezes, para mais de 1.500 vítimas, e agora incluem varreduras em massa, exploração de múltiplas vulnerabilidades e colocação de backdoors usando várias ferramentas de segurança OSS", lê-se no relatório da Sysdig.
As motivações de CRYSTALRAY são coletar e vender credenciais, implementar cryptominers e manter persistência nos ambientes das vítimas.
Algumas das ferramentas OSS que o ator de ameaça está aproveitando incluem zmap, asn, httpx, nuclei, platypus e SSH-Snake.
A Sysdig diz que CRYSTALRAY usa exploits proof-of-concept (PoC) modificados entregues aos alvos usando o toolkit de pós-exploração Sliver, fornecendo outro exemplo de má utilização de ferramentas open-source.
Antes de lançar os exploits, os atacantes realizam verificações completas para confirmar as falhas descobertas por meio de nuclei.
As vulnerabilidades que CRYSTALRAY visa em suas operações atuais são:
CVE-2022-44877
: Falha de execução arbitrária de comando no Control Web Panel (CWP)
CVE-2021-3129
: Bug de execução arbitrária de código afetando o Ignition (Laravel).
CVE-2019-18394
: Vulnerabilidade de falsificação de solicitação no lado do servidor (SSRF) no Ignite Realtime Openfire
A Sysdig diz que os produtos Atlassian Confluence provavelmente também são alvo, com base nos padrões de exploração observados em tentativas contra 1.800 IPs, um terço dos quais nos EUA.
CRYSTALRAY usa o gerenciador web-based Platypus para lidar com múltiplas sessões de reverse shell nos sistemas violados.
Ao mesmo tempo, SSH-Snake continua sendo a ferramenta primária pela qual a propagação através de redes comprometidas é alcançada.
Uma vez que as chaves SSH são recuperadas, o worm SSH-Snake as utiliza para logar em novos sistemas, copiar a si mesmo e repetir o processo nos novos hosts.
SSH-Snake não apenas espalha a infecção, mas também envia chaves capturadas e históricos de bash de volta ao servidor de comando e controle (C2) de CRYSTALRAY, oferecendo opções para maior versatilidade de ataque.
CRYSTALRAY tem como objetivo roubar credenciais armazenadas em arquivos de configuração e variáveis de ambiente usando scripts que automatizam o processo.
Atores de ameaças podem vender credenciais roubadas para serviços de nuvem, plataformas de email ou outras ferramentas SaaS na dark web ou Telegram por um bom lucro.
Além disso, CRYSTALRAY implementa cryptominers nos sistemas violados para gerar receita sequestrando o poder de processamento do host, com um script eliminando quaisquer cryptominers existentes para maximizar o lucro.
A Sysdig rastreou alguns trabalhadores de mineração para um pool específico e descobriu que eles estavam ganhando cerca de $200/mês.
No entanto, começando em abril, CRYSTALRAY mudou para uma nova configuração, tornando impossível determinar sua receita atual.
À medida que a ameaça CRYSTALRAY cresce, a melhor estratégia de mitigação é minimizar a superfície de ataque por meio de atualizações de segurança oportunas para corrigir vulnerabilidades à medida que são divulgadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...